‘서비스 이용약관 동의’가 의미하는 것

 

『웹사이트 방문할 때 ‘쿠키를 허용하세요‘ 문구가 뜨면, 대부분 아무 생각 없이-혹은 허용해야 넘어가니까- 클릭한다. 그런데 한 번이라도 이 ‘쿠키’가 무엇인지 의문을 가져본 적이 있는가? 쿠키는 말 그대로 컴퓨터나 휴대전화로 당신이 하는 모든 것을 추적하는 장치다. 어디서 누가 얼마나 많이 내 온라인 활동을 추적하는지 알고 싶다면, 브라우저의 부가 기능을 통해 확인해볼 수 있다. 라이트빔(Lightbeam)이란 앱을 사용한 결과, 1분 동안 단 두 곳의 뉴스 페이지를 방문했을 뿐인데도 제3의 웹사이트-무려 174곳에 개인 정보가 연결되어 있음을 발견했다. 이렇게 나도 모르는 새 빠져나간 내 정보는 누구에게 향하는가?!
빅 데이터 수집 기업에 흘러 들어간 개인정보들은 광고 기계를 작동시키는 연료 역할을 한다.』

’16년 미 대선 당시 영국의 데이터 분석기업 케임브리지 애널리티카가 수천만 페이스북 사용자의 개인정보를 불법 수집해 트럼프를 지원하는 데 활용했다는 사실이 폭로되면서 불거진, ‘페이스북 개인정보 유출사건’을 기억하는가?

‘쿠키’ 이야기는, 바로 케임브리지 애널리티카의 내부고발자 브리태니 카이저가 기업에서 겪은 일들을 증언한 도서 <타겟티드>의 일부를 편집한 내용이다.

케임브리지 애널리티카 기업은 어떤 곳인가. 앞서 소개했듯 온라인에서 데이터를 끌어모아 분석하고 마이크로 타겟 마케팅을 하는 곳이다. 자, 온라인상의 개인 데이터를 수집하는 것은 합법인가 불법인가.

 

미국에서 사단이 난 이유


애널리티카는 영국 기업이지만, 개인정보 활용에 까다로운 유럽보다 상대적으로 관대한 미국을 더 선호했다. 우선 미국과 유럽은 개인정보에 있어 관점 차이가 존재한다. 유럽과 일본, 우리나라는 ‘정보 주체의 자기 결정권’을 헌법상 기본권으로 해석하고 개인정보 보호법을 시행하고 있다.

반면 미국은 정보 주체의 자기결정권이란 개념이 존재하지 않는다. 개인정보는 ‘교육, 금융거래, 진료 경력, 범죄 이력, 고용 경력 등을 포함한 정보로 이름, 개인식별번호, 지문·성문, 사진 등 개인 식별 상징 등 특별히 개인을 식별할 수 있는 것을 포함하는 것’으로 해석된다. 현재 미국은 개인 정보를 통해 신원을 식별할 수 있는 경우 민감한 사항만 사전 동의를 구하고 식별이 어려울 경우에는 정보를 보호할 의무가 없다. 즉 기업이 이용자의 사전 동의를 받지 않더라도 개인정보를 수집·분석·활용할 수 있다는 의미다. 대신 사후 거부제(opt-out)를 통해 이용자가 원하면 정보 제공을 거부할 수 있다. 따라서 정보의 주체 동의 없이 개인정보 수집 사유가 상당히 광범위하다.
 – 출처: 아주경제 https://bit.ly/3eVaE6g


이렇게 개인정보 활용이 관대한 미국에서, 2010년 페이스북이 이용자의 네트워크 구조(친구관계, 팔로잉 등)에 대한 정보를 제공하는 API를 오픈 그래프라는 이름으로 제공하기 시작했다. 스포티파이 및 다수 외부 서비스 기업에서 해당 그래프를 사용했다. 단, 제3자에게 전달하면 안 된다.

발단은 바로 이 페북의 API 오픈 그래프를 제3자인 케임브리지 애널리티카가 상업적 목적으로 사용했다는 데서 시작한다. ’14년 애널리티카는 케임브리지 대학교 심리학 교수에게 ‘심리 퀴즈게임 앱’ 개발을 의뢰한다. 교수는 이 앱을 페북의 API를 이용해 앱 이용자 27만 명의 동의를 얻어 이들의 페북 정보를 얻는다. (중요한 건 이용자 정보뿐 아니라 이용자 친구, 친구, 건너 친구 등 5천만 명에 대한 접근권도 함께 얻었다는 것)

유저들은 단순히 심리게임 앱이라고 생각했지만 본인도 모르는 새 개인정보를 ‘그 어떤 곳’에 퍼다 준 셈이 된 것이다. 교수는 모든 정보를 제3자인 애널리티카에 넘겼고, 정보를 삭제하라는 페북의 경고를 무시하고 애널리티카는 ’16년 미국 대통령 선거에서 트럼프 진영에 해당 데이터를 활용했다(트럼프의 당선을 이끌었다는…).

거대 데이터 기업 애널리티카가 집행하는 마이크로 타겟팅은 그야말로 심리전이다. 내가 페북에서 좋아요 누른 것, 공유한 것, 댓글을 단 것 등 모든 것을 분석해 나의 정치적 성향, 취향 등을 도출한 후 내 환경에 맞춰 내가 좋아할 만한 형식으로 메시지를 전달하는 방식이다. ‘침대 구매를 고민하던 찰나, ‘우연히도’ 가격별로 쫙 리스트업된 침대 광고가 뜨면 클릭을 하겠는가 안 하겠는가’ 나도 모르게 넘어갈 수밖에 없는 고단수 마케팅인 것이다.


‘광고<개인정보보호’ 운동은 성공할까


이 사건이 불쏘시개가 되어, 미국 내에서도 개인정보보호에 대한 인식이 커지기 시작했다. 지난 2월 구글이 크롬 사용자의 개인정보보호를 위해 서드파티 쿠키 지원을 중단하겠다고 발표했다. 재차 강조하면, 쿠키란 사용자가 특정 웹사이트를 방문했을 때 남는 이용 기록 등을 브라우저에 저장한 파일을 말한다. ‘헨젤과 그레텔’에서 주인공이 길 가며 남긴 빵 부스러기와 같이 내 족적을 남긴다고 해서 붙여진 이름이다.

내 족적들이 쿠키란 이름으로 인터넷 광고업체 등에 흘러 들어가고, 한번 클릭한 사이트와 유사한 광고가 자꾸 따라다니면서 뜨는 것과 같은 현상이 벌어지는 것이다. 기업 입장에서 쿠키는 광고의 주요 자원이 되지만, 문제는 누가 내 쿠키를 어떻게 활용하는지 정작 나는 잘 모른다는 것이다.

의견은 갈린다. 구글 크롬은 1월 기준 세계 웹 브라우저 시장에서 64.1% 점유율로 1위다. 이들이 쿠키를 막아버리면 광고 업계에 큰 타격을 줄 수 있다는 우려 섞인 목소리가 크다. 반면 좀 더 건강하게 디지털 광고 생태계를 만드는 데 도움이 될 것이란 목소리도 나온다.

<타겟티드>는 ‘개인 맞춤형 정보제공인가 나를 조종하는 마우스인가’를 고민하게 만드는 SNS 데이터 활용의 민낯을 생생히 보여준다.